June 10, 2020

4.1.5 Поиск утечек информации в комментариях и метаданных

Зачастую разработчики добавляют в свои проекты детальные комментарии и метаданные. Однако, комментарии и метаданные в HTML страницах могут включать в себя чувствительную информацию , которой может воспользоваться злоумышленник.

Задачи тестирования

Изучить комментарии и метаданные в тестируемом приложении, чтобы получить информацию , которая может пригодится в дальнейшем тестировании.

Как тестировать

В HTML комментариях разработчики зачастую оставляют отладочную информацию. В некоторых случаях , перед размещением проекта в открытый доступ , они забывают её убрать. пентестеры должны изучить коментарии на всех страницах , начинающиеся с “<!— “.

Тестирование методом "Чёрного ящика"

Вам необходимо проверить исходный код на наличие конфиденциальной информации , которая может так или иначе помочь злоумышленнику. Это могут быть как простая отладочная информация , так и SQL код , имена пользователей , внутренние IP адресса

...

<div class="table2">
  <div class="col1">1</div><div class="col2">Mary</div>
  <div class="col1">2</div><div class="col2">Peter</div>
  <div class="col1">3</div><div class="col2">Joe</div>

<!-- Query: SELECT id, name FROM app.users WHERE active='1' -->

</div>
...

Иногда можно встретить даже такое

<!-- Use the DB administrator password for testing:  f@keP@a$w0rD -->

Также можно получить версию html и определение типа документа (DTD)

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
  • strict.dtd
  • loose.dtd
  • frameset.dtd

Некоторые мета-теги не представляют из себя как таковых векторов атак , зато благодаря им можно получить различную информацию и составить профайл

<META name="Author" content="Andrew Muller">

Обычно использующийся (но не соответствующий стандартам WCAG) мета тег - Refresh

<META http-equiv="Refresh" content="15;URL=https://www.owasp.org/index.html">

Иногда мета-теги могут использоваться для указания ключевых слов , используемых при индексации веб-страницы поисковиком

<META name="keywords" lang="en-us" content="OWASP, security, sunshine, lollipops">

Поведением поисковых системы в основном управляют с помощью файла robots.txt, однако это можно также делать с помощью тега meta. Данный тег не рекомендует индексировать страницу и переходить по ссылкам на данной странице

<META name="robots" content="none">` `

The Platform for Internet Content Selection (PICS) and Protocol for Web Description Resources (POWDER) provide infrastructure for associating meta data with Internet content.

Тестирование методом "серого ящика"

Не предоставляется возможным.

Инструменты

  • Wget
  • Browser “view source” function
  • Eyeballs
  • Curl

Справки и материалы для дополнительного чтения

Перевод подготовлен специально для канала t.me/FreedomF0x

Contact: t.me/freedomf0x t.me/Slippery_Fox twitter.com/FlatL1ne

xmpp(жаба_ёпт): [email protected]

При поддержке друзей: t.me/in51d3 t.me/NeuroAliceMusic t.me/vulnersBot t.me/darknet_prison

Our private (no logs) xmpp server: FreedomFox.im (for add, write to [email protected])

Хорошо там где нас нет (с) Русские хакеры
Добре там де нас немає (с) Російські хакери